Гугл неразглашённый (анализ угроз пользовательским данным при использовании ISP кэширующего оборудования GGC)

Гугл неразглашённый (анализ угроз пользовательским данным при использовании ISP кэширующего оборудования GGC)

Америка лопушит весь мир.., ещё более своих граждан…

Автор: K4Y0T

Америка лопушит весь мир.., ещё более своих граждан…
Василий Якеменко, 2006

В феврале 2015 года, внимание привлекла программа (или услуга) Google Global Cache (GGC), с её условиями конфиденциальности. Было принято решение, проанализировать техническую составляющую данного вопроса, а также договорную базу (в свете основных рисков для бизнеса и угроз информационной безопасности).

Услуга GGC позиционируется компанией Гугл, как решение для избранных. В целом, данную компанию можно охарактеризовать предоставлением качественных сервисов, бесплатно и с выгодой для себя.

GGC – одно из решений по оптимизации огромных объёмов своего траффика на базе платформы CDN, якобы с пользой для провайдеров (ISP). Что связано со значительным увеличением пользователей услуг широкополосного доступа и богатым мультимедийным контентом (рост объёма траффика от ISP). GGC позволяет предоставлять Google-контент (видео, прежде всего), из собственной сети провайдера. Такое решение, должно было облегчить нагрузки на сеть и снизить затраты на транзитные линки, повышая уровень обслуживания пользователей, и экономя деньги провайдеров.

GGC...

При внедрениях, Гугл мотивирует, что проект находится на стадии бета-тестирования, поэтому соглашения с провайдерами являются коммерческой тайной, и запрещает использовать упоминания об этой услуге в своих целях.

Без GGC, каждый запрос пользователя из сети провайдера на видео (YouTube, Google Apps и т.д.) создает транзит экземпляра видео по сети, от Google к пользователю. С GGC только первая копия видео проходит транзит по всей сети. При запросе того же видео другим пользователем, Google предоставляет его из узла GGC.

Также, Гугл указывает на такие особенности услуги GGC, как сокращение трафика через сети (процент запросов через Cache варьирует в зависимости от схемы использования пользователями, обычно производительность порядка 75%), быстрый ответ прозрачный для пользователей (Google прозрачно обслуживает пользовательские запросы из кэша внутри сети), простота установки (для установки требуется rack, специализированный шкаф, ноутбук, копия CD от Google, подключение к сети Интернет; после настройки серверов Google делает всю работу и осуществляет мониторинг удалённо), и надёжность (узел имеет несколько уровней избыточности, если узел GGC недоступен по любой причине, запросы пользователей отправляются прозрачно для Google).

Когда пользователь запрашивает веб-страницы (видео или изображения), системы Google определяют, могут ли части содержания быть предоставлены из узла GGC внутри сети, и имеет ли пользователь право доступа к узлу GGC.

Если узел GGC имеет закэшированную версию запрашиваемого контента в своём локальном кэше, он предоставляет контент непосредственно конечному потребителю, улучшая работу пользователей и экономя деньги за транзит траффика. При отсутствии содержимого на узле GGC, узел скачивает его из Google и предоставляет пользователю, сохраняя информацию для будущих запросов.

к Диаграмме запросов...

Рассмотрим подробнее диаграмму запросов при функционировании GGC:

  • пользователь запрашивает по ссылке видео или другой контент размещённый на Google (компьютер гарантирует запрос DNS для адреса хоста);
  • DNS провайдера запрашивает DNS Google на IP-адрес хоста с содержанием;
  • DNS Google знает о наличии GGC в сети, так что ответы содержат IP-адреса узла GGC провайдера (провайдер анонсирует IP-адреса DNS-резолвера узлу GGC через BGP, и Google обновляет информацию на своём DNS);
  • DNS провайдера отвечает пользователю IP-адресом узла GGC;
  • компьютер пользователя отправляет запрос на IP-адрес, который маршрутизируется на GGC-узел;
  • узел подтверждает, что пользователь имеет доступ к этому узлу (путём сопоставления IP-адреса пользователя со списком блоков IP, анонсированных через узел BGP), при отсутствии адреса в списке, запрос пользователя перенаправляется на кэш в сети Google;
  • если контент не содержится на узле GGC, узел запрашивает его из Google и кэширует;
  • после получения контента, узел GGC предоставляет его пользователю (сохраняя для последующих запросов).

Поговорим о предоставляемом оборудовании от компании Гугл. В качестве условия, провайдер обеспечивает размещение его в своём дата-центре (с питанием от электросети и подключением к сети Интернет). GGC работает на стоечных серверах (rack mountable), от 3-х до 8-ми единиц в каждом кластере.

к Стойке GGC...

Ориентировочные характеристики серверов:

  • 2 RU Rack-mountable chassis;
  • 74 см. Д х 44 см. Щ х 8,64 см. В;
  • вес: 28 кг.
  • блок питания: 2х 110/220 VAC;
  • 4 x 1000Base-T copper Gigabit Ethernet;
  • IP адресация: выделенная подсеть (один широковещательный домен).

Возможные конфигурации: 3 сервера – 6RU 1200W, 4 сервера – 8RU 1600W, 6 серверов – 12RU 2400W, 8 серверов – 16RU 3200W.

Для администрирования услуги Гугл предлагает использовать ресурс ggcadmin.google.com (конфигурация узла и информация о доставке). Первичный потребитель получает доступ к группе GGC специализированного портала. После принятия бета-соглашения, потребитель может пригласить дополнительных пользователей.

Ещё несколько интересных деталей, по версии Гугл:

- Google сохраняет за собой право собственности на оборудование и программное обеспечение, из которых состоит узел; отвечает за техническое обслуживание, поддержку и транспортные расходы, связанные с серверным оборудованием;

- по уверениям Google, конфиденциальность пользователей имеет первостепенное значение; личная информация (Personally Identifiable Information) или частный контент пользователей не сохраняется на узле GGC;

- Google сохраняет право требовать от провайдеров заверений о неразглашении использования услуги, так как проект находится в стадии бета.

Сайт РТК недоступен...

Отвечая на вопрос об избирательности ISP, компания Гугл ссылается на то, что обычно предлагает такую услугу только тем провайдерам, которые присутствуют в крупнейших точках обмена трафиком (если трафик на ресурсоёмкие услуги Google: YouTube, Maps и пр. составляют значительный процент от общего объёма трафика, более 70%).

Однако, приоткроем тайну занавеса, погрузившись в особенности договоров с компанией Гугл… В настоящее время, достоверно известно об участии в программе GGC таких провайдеров, как Ростелеком, МТС, Билайн, Мегафон и ряде более мелких ISP Санкт-Петербурга (к примеру, WestCall), и других городов и регионов страны.

GGC в Ростелекоме...

Договора с ООО "ГУГЛ" приходные (позиционируются, как на предоставление услуг) и зачастую не подлежат согласованию по БП (скажем службой экономической или информационной безопасности), о чём Гуглу видимо известно (порядка 100 тысяч рублей в год).

Проанализированные договора настолько конфиденциальны, что со стороны ООО "ГУГЛ" не удосуживаются указывать не только лишь должности подписантов, но и даже элементарные ФИО:

Договор первый...  Договор второй...

Из упомянутых договоров усматривалось, что Гугл разместил сервера в дата-центрах хостинговых компаний (скорее провайдеров), сроком на 1 год (с условием ежемесячной пролонгации по окончании договора).

к Предмету договора...

При этом, необходимость коммерческой тайны компания мотивировала стадией бета-тестирования услуги (завуалировано для обхода законодательства РФ, прим. автора). Гугл заявляет также, направленность на избранных, предлагая подобные услуги только провайдерам, присутствующим в крупнейших точках обмена трафиком.

Вместе с тем, провайдер должен выполнять ряд условий и ограничений, в том числе: запрещается анализировать трафик, разглашать третьим лицам сведения об услуге, обеспечивать доступ к сети между оборудованием и абонентами, а также удалённый доступ (HTTP/HTTPS, ICMP, SSH, DNS, NTP, BGP, к другим протоколам и портам по востребованию), и даже доступ представителям к оборудованию в дата-центре (или предоставлять своих администраторов при необходимости).

Таким образом, Гугл имеет право направлять своего представителя для изменения конфигурации или замены оборудования, беспрепятственно обновлять и модифицировать ПО на своё усмотрение. При этом, не раскрывая подробности работы софта. Гугл также, не гарантирует непрерывность трафика со своей стороны.

к Условиям конфиденциальности...

К сожалению, не удалось найти и проанализировать ТЗ и акты установки оборудования GGC. В целом, это было вполне ожидаемо. Необходимо отметить и тот факт, что Гугл оставляет за собой право для передачи собранной информации третьим лицам (по соответствующим запросам). Оно и понятно, в русле действующего в США законодательства, касающегося ISP (ведь ООО "ГУГЛ" фактически находится в американской юрисдикции).

Обращаясь к техническому аспекту данной проблемы, с учётом обязательств операторов связи и действующего законодательства в России, под угрозой оказывается выполнение условий договоров по СОРМ, а также обслуживание государственных контрактов. Следовательно, возникают риски отзыва основных лицензий и сертификатов, необходимых для осуществления деятельности ISP.

Сюда же, можно добавить потенциальные проблемы при осуществлении судебных блокировок контента и ресурсов (блокировок другими инстанциями, исходя из развивающегося законодательства в этой сфере). И возможные репутационные риски, в случае увеличения количества жалоб от клиентов.

к Раскладу...

Крупные операторы обслуживают каналы СК РФ, МВД, ФСКН, Спецстроя России, а также Федеральной службы судебных приставов (далеко не полный перечень, прим. автора). Провайдерам удалось обойти проблему, юридически грамотным составлением договоров с клиентами (спасение утопающих – дело рук самих утопающих). Однако, такой подход не решает самой проблемы (риски весьма значительны). По словам инженеров, объём трафика на этих направлениях неуклонно растёт.

Известна ситуация (технические трудности, при кэшировании пользовательского трафика по программе GGC), возникшая у одного из провайдеров, при предоставлении коммутационной информации по запросу из уполномоченных органов, ввиду выделения одной из подсетей для нужд ООО "ГУГЛ". В результате чего, корректная информация попросту не могла быть предоставлена.

Налицо, возможность доступа к пользовательским данным, для использования их на усмотрение Гугла, а также риски возникновения нерегламентированных каналов, вплоть до доступа к конечным рабочим станциям пользователей.

PRISM повсюду...

Ситуация усугубляется при более комплексном подходе. Так, принимая во внимание программы АНБ, такие как PRISM (Program for Robotics, Intelligents Sensing and Mechatronics – комплекс мероприятий, осуществляемых с целью массового негласного сбора информации, передаваемой по сетям электросвязи), представляющей из себя идейный аналог СОРМ (но более совершенный, по сравнению с которой СОРМ находится в зачаточном состоянии), и их взаимосвязь с крупными игроками ИТ-рынка, получим следующую схему взаимодействия:

АНБ США – PRISM – GGC – ISP – [customer]

Где, PRISM объединяет все каналы передачи информации (телефонный звонки – франкфуртский узел связи, банковские транзакции - SWIFT и др.) и включает элементы искусственного интеллекта (модели поведения, графы общения и пр.) Одно из направлений развития упомянутого ИИ, понимание потребностей пользователей, для максимально эффективной оптимизации информации, тем самым повышения качества человеко-машинного взаимодействия (прогнозирования и манипулирования).

Таким образом, Гугл постоянно не передаёт (якобы, прим. автора) пользовательскую информацию третьим лицам (так прописано в договоре), но по запросу предоставляет АНБ любые сведения (предпочтения пользователей, возможно и идентификационную и аутентификационную информацию), вплоть до предоставления соединения по SSH-протоколу (туннеля)…

АНБ и GGC...

Дополнительно, программа GGC позволяет выдавать абонентам необходимую рекламную информацию, а также, может быть использована для управления общественным мнением, через подконтрольные ресурсы и рекламные площадки (этот вопрос рассматривался подробнее в статье Бандеровские инсинуации).

Всё это легко детектируется, посредством любого браузера, установленного на ПК. Попробуйте ввести фразу о покупке смартфона, например. Или ввести в адресную строку непосредственно название ресурса производителя устройства. После чего, откройте поисковик или включите видеоролик с канала YouTube (справедливо для каждого аффилированного сервиса). Все рекламные блоки навязчиво будут предлагать вам смартфоны, на протяжении определённого количества дней…

Госдума обеспокоена...

В России, несколько известных операторов связи уже столкнулись с жалобами абонентов, опасающихся за свои данные (передаваемые провайдерами по договорам третьим лицам в маркетинговых целях), в свете использования такой рекламной технологии. В социальных сетях и на различных форумах возрастает количество недовольных пользователей. Появился даже специализированный сервис (определяющий наличие сливов) с неблагозвучным названием, "эскимосы" среди провайдеров.

Картина по услуге GGC была бы неполной, без понимания ситуации на Западе. Так, провайдеры в США (с момента запуска GGC в 2011 году) столкнулись с исками от недовольных клиентов (в отношении фильтрации всего пользовательского трафика), поэтому не спешили внедрять услуги GGC (и зачастую отказывались). Тем не менее, как и в нашей стране, у американских регуляторов есть свои рычаги воздействия на ISP.

С учётом развитого клиенториентированного подхода и важности прав и свобод граждан (в том числе по защите ПДн), провайдеры выработали практику по внедрению GGC, с отведением пользовательского трафика через свои DNS взаимодействующие напрямую с DNS-серверами Гугл, которые находятся в дата-центрах самой компании (оборудование GGC установлено и не беспокоит регуляторов, пользовательские данные достаточно защищены).

ООН о правах...

Действительно, исходя из точки зрения провайдеров в РФ – GGC, приносящая прибыль услуга, теоретически увеличивающая скорость доступа клиентов к мультимедийному контенту (так было раньше, сегодня кэширующие сервера Гугл размещённые в собственных дата-центрах способны обслуживать всех клиентов). С точки зрения ИТ-сообщества, преобладает цинизм в данной сфере (сомнительная экономия на каналах в эпоху развитых сетей и их достаточной избыточности). С точки зрения экспертов по ИБ – всего лишь вопрос ответственности, исходя из модели угроз периметра (разные периметры для пользователя, прокси и т.д.)

Высока вероятность того, что уполномоченные органы смотрят на обозначенную проблему сквозь пальцы, ссылаясь на отсутствие в законе запрета на рассматриваемую услугу. Что имеет право на существование, вследствие загруженности ведомств, или нежелания разбираться в вопросе. Это, также, может быть обусловлено недосягаемостью для законодательства крупных корпораций (например, когда вопросы решаются на уровне корпораций и соответствующих министерств).

Как отметил один ведущий специалист отдела ИБ, в России хостинговые компании (равно как и провайдеры) вынуждены затрачивать огромные средства и значительное количество времени на внедрение узлов СОРМ (ввиду несовершенства законодательства, слабо учитывающего реалии бизнеса), а Гугл развернул свои услуги по всей стране всего за год (к сведению, в 2013 году были значительно увеличены ассигнования на программу PRISM), в рамках всех ведущих провайдеров, с условием доплаты.

Подводя итоги можно отметить, что в то время, как по всей стране шагает импортозамещение, принимаются решения о запрете обработки персональных данных за пределами РФ, а Яндекс судится с Гугл в диспозиции антимонопольного законодательства, провайдеры (в режиме конфиденциальности) внедряют оборудование для оптимизации трафика на основе решения GGC (Google Global Cache).

GGC на выход...

Имеющиеся риски не воспринимаются на должном уровне, в том числе ИТ-сообществом (которое склоняется к тому, что все ISP пользуются услугой, значит и нам можно – "синдром троечника", по мнению эксперта по ИБ, Алексея Смирнова). Не реализуются рекомендации, со ссылкой на требуемые затраты на переконфигурирование каналов. В то время, как регуляторы в РФ очень ревностно и монопольно относятся к предоставлению ssh-каналов и VPN-доступа провайдерами (в особенности, иностранным резидентам и/или агентам).

В настоящей статье, была предпринята попытка заострить внимание сообщества (законодателей, регуляторов и уполномоченных органов), на наличии существенных рисков (экономических, репутационных, информационной безопасности) и недостатков в программе GGC. Призвать ISP к консолидированному обсуждению и принятию взвешенного решения данной проблемы (совместно с представителями государственных структур).

В конечном итоге, всё это приведёт к положительным тенденциям по защите пользовательских данных в российском сегменте сети Интернет, а также будет полезным с точки зрения оборонотерапии нашей Родины ;) И да прибудут с нами ПДн…

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь